Une toute nouvelle escroquerie vient de faire son apparition et celle-ci vise spécifiquement les usagers de Gmail. Les cybercriminels qui en sont à l’origine combinent désormais phishing par e-mail et appels frauduleux assistés par intelligence artificielle pour duper leurs victimes, en se faisant passer pour le service d’assistance de Google. Un faux démarchage téléphonique très élaboré auquel vous devrez prendre garde pour ne pas vous faire piéger.
Un scénario d’attaque en plusieurs actes
L’arnaque débute de manière classique par un e-mail de récupération de compte, une technique éprouvée visant à diriger la victime vers un faux portail de connexion pour dérober ses identifiants. Mais là où cette escroquerie se démarque, c’est dans sa persistance et sa capacité à rebondir face aux refus de l’utilisateur.
Sam Mitrovic, consultant en solutions Microsoft, a récemment fait les frais de cette arnaque et en a détaillé le modus operandi dans son blog. Après avoir esquivé la première tentative de phishing, Mitrovic a reçu, quelque 40 minutes plus tard, la notification d’un appel manqué supposément émis par Google Sydney. Ce même schéma s’est répété ensuite, quelques jours plus tard.
L’IA au service de la fraude vocale
C’est lors de ce second appel que l’escroquerie a pris une dimension plus inquiétante. « Exactement une semaine plus tard, à peu près à la même heure, j’ai reçu une autre notification me demandant d’approuver de nouveau la récupération de mon compte Gmail depuis les États-Unis. Vous l’avez deviné – environ 40 minutes plus tard, je reçois un appel que je décroche cette fois. C’est une voix américaine, très polie et professionnelle. Le numéro est australien ». L’interlocuteur, qui s’est fait passer pour un employé de Google Support, prétendant agir face à une activité suspecte repérée sur le compte Gmail de Mitrovic, s’est révélé être une voix générée par intelligence artificielle.
La supercherie était presque parfaite : le numéro d’appel correspondait à un contact officiel de Google, et même l’e-mail de confirmation envoyé par le prétendu support paraissait authentique à première vue. Seul un examen plus précis de ce dernier a permis à Mitrovic de déceler une adresse e-mail frauduleuse habilement camouflée dans le champ des destinataires. « On falsifie facilement une adresse e-mail. J’ai remarqué que le champ “À” contenait une adresse bidon, savamment conçue pour ressembler à une adresse Google : GoogleMail@InternalCaseTracking.com (un domaine qui n’appartient pas à Google) » précise-t-il.
Une IA vocale imparfaite
Malgré sa sophistication, l’arnaque a fini par se trahir. La voix artificielle, bien que convaincante, a montré ses limites lors des échanges. Des pauses inhabituelles et une diction trop parfaite ont éveillé les soupçons de Mitrovic, qui a finalement compris qu’il avait affaire à une bête IA et non à un véritable agent de support. Mitrovic a ensuite mis fin à l’appel.
Cette nouvelle forme d’escroquerie est le signe que l’intelligence artificielle, mise entre de mauvaises mains, peut vraiment être dangereuse. Elle permet de générer des attaques de phishing plus personnalisées, en utilisant les informations disponibles sur la victime pour rendre les messages plus crédibles et convaincants. Les voix générées par IA sont (et seront) de plus en plus difficiles à distinguer de celles d’un humain, ce qui rend les appels de ce genre plus convaincants et augmente les chances que les victimes se laissent berner. Méfiez-vous donc des e-mails et des appels non sollicités, même s’ils semblent provenir d’une source fiable et vérifiez toujours l’adresse e-mail de l’expéditeur avant de cliquer sur un lien.
- Une nouvelle arnaque combine phishing et appels vocaux par IA pour voler les identifiants des utilisateurs de Gmail.
- Les attaquants se font passer pour le support de Google en faisant croire à une activité suspecte sur les comptes de leurs victimes.
- Méfiez-vous des e-mails et des appels suspects, même s’ils paraissent authentiques.
📍 Pour ne manquer aucune actualité de Presse-citron, suivez-nous sur Google Actualités et WhatsApp.
